1 概述
系統(tǒng)現狀
某集團公司擁有多個下屬公司，均進行了卓有成效的信息化建設，但由于開展時間較早，也沒有統(tǒng)一規(guī)劃，目前處于應用各自獨立建設、獨立維護的狀態(tài)。
需求分析
為了發(fā)揮信息應用系統(tǒng)在服務決策、促進溝通、交流經驗、推動工作等方面的作用，加強高效工作的信息化支撐力度，提高總部、下屬單位的工作效率，需要改變現有各應用系統(tǒng)用戶管理分散、認證分散的現狀，構建企業(yè)用戶的統(tǒng)一管理，打造企業(yè)綜合信息平臺。
建設目標
“某集團公司”統(tǒng)一用戶管理平臺由統(tǒng)一用戶管理服務、統(tǒng)一認證服務、單點登錄服務組成，形成對總部和集團公司應用系統(tǒng)的安全支撐，促進信息系統(tǒng)的應用和發(fā)展。
“某集團公司”統(tǒng)一用戶管理平臺具體建設目標如下：
（1）建設企業(yè)統(tǒng)一目錄
編制企業(yè)目錄規(guī)范，并按照規(guī)范建立統(tǒng)一目錄系統(tǒng)，按照規(guī)范要求存儲用戶信息各項屬性和組織機構信息各項屬性，并提供數據同步接口。
（2）建設統(tǒng)一用戶管理平臺
建立統(tǒng)一用戶管理系統(tǒng)，統(tǒng)一管理全公司用戶信息和組織機構信息，并負責向各應用系統(tǒng)提供標準可用的數據，同時完成各應用的用戶帳號統(tǒng)一管理、用戶授權集中管理與安全策略集中設置。
（3）建設統(tǒng)一認證平臺
建立統(tǒng)一認證平臺，實現對應用系統(tǒng)的集中認證和單點登錄。
統(tǒng)一認證平臺根據統(tǒng)一用戶管理系統(tǒng)提供的授權信息進行用戶應用系統(tǒng)訪問控制。

2 解決方案總體設計
部署方式設計

圖1 部署方式設計圖

“某集團公司”統(tǒng)一用戶管理平臺依據“分級部署、分級管理”的原則，采用分布式部署，中心節(jié)點建設在總部，分中心建設在各集團公司。
部署方式示意圖如下：
 
中心節(jié)點承擔總部統(tǒng)一用戶管理平臺數據負載，負責對總部應用系統(tǒng)及全國應用系統(tǒng)進行用戶管理、認證和單點登錄。
分中心承擔集團公司統(tǒng)一用戶管理平臺數據負載，各分中心獨立運行互不干擾，負責對集團公司應用系統(tǒng)進行用戶管理、認證和單點登錄。
中心節(jié)點和分中心分別從同級的HR系統(tǒng)同步用戶信息，由HR系統(tǒng)負責發(fā)起用戶管理操作，由統(tǒng)一用戶管理平臺進行用戶信息分發(fā)。同時，兩級統(tǒng)一用戶管理平臺也實現了用戶同步，可在總部形成全集團用戶信息視圖。
中心節(jié)點和分中心分別建立企業(yè)目錄，負責存儲本公司的用戶信息、組織機構信息、角色信息等數據。
統(tǒng)一用戶管理平臺采用分級部署方式，為應用系統(tǒng)提供本地化的用戶管理、認證和單點登錄服務，確保了內部網絡暢通，實現辦公現代化、信息電子化、傳輸網絡化和管理科學化提供高保障、高質量的安全基礎平臺。
部署內容設計
總部部署：總部部署兩臺統(tǒng)一用戶管理平臺服務器，構成總部的統(tǒng)一用戶管理平臺，負責對總部或全集團應用系統(tǒng)提供用戶管理、認證和單點登錄服務。
集團公司部署：集團部署兩臺統(tǒng)一用戶管理平臺服務器，構成集團的統(tǒng)一用戶管理平臺，負責對集團應用系統(tǒng)提供用戶管理、認證和單點登錄服務。
系統(tǒng)接口設計
統(tǒng)一用戶管理平臺作為用戶信息的集中管理與整合的信息設施，涉及與各個業(yè)務系統(tǒng)的交互，系統(tǒng)必須具有良好、完善的接口，以滿足應用系統(tǒng)在多種應用場景下的使用需求。
認證與單點登錄接口規(guī)范
統(tǒng)一用戶管理平臺產品提供應用系統(tǒng)認證與單點登錄接口規(guī)范，方便應用系統(tǒng)進行認證和單點登錄接入。根據應用系統(tǒng)的實際情況，可選擇HTTP協議或TCP協議。
HTTP協議接口規(guī)范：提供HTTP協議接口包及開發(fā)規(guī)范，進行應用系統(tǒng)的單點登錄接入。
TCP協議接口規(guī)范：提供TCP協議接口包及開發(fā)規(guī)范，進行應用系統(tǒng)的單點登錄接入。
組織機構用戶數據同步接口
統(tǒng)一用戶管理平臺組織機構、用戶數據同步接口分為兩類：從數據源接收數據同步和向應用系統(tǒng)同步數據。
從數據源接收數據同步接口
在企業(yè)內部已擁有組織機構、用戶數據權威數據源的情況下，統(tǒng)一用戶管理平臺提供數據接收同步服務。在權威數據源的組織機構、用戶數據發(fā)生變更時，可自動同步到統(tǒng)一用戶管理平臺。
1）組織機構操作接口：可接收組織機構信息的增加、刪除、修改、啟用、停用、重命名、修改父級等變更信息；
2）用戶操作接口：可接收用戶信息的增加、刪除、修改、啟用、停用、重命名、修改父級、變更用戶組、變更角色等變更信息；
3）用戶組操作接口：可接收用戶組信息的增加、刪除、修改等變更信息；
4）角色操作接口：可接收角色信息的增加、刪除、修改等變更信息；
5）密碼操作接口：可接收管理員重置密碼、用戶自助修改密碼、用戶自助重置密碼的變更信息。
向應用系統(tǒng)同步數據接口
在統(tǒng)一用戶管理平臺內進行企業(yè)內部組織機構、用戶數據的統(tǒng)一管理，或者接收到權威數據源的同步數據，產生增量變化數據后，統(tǒng)一用戶管理平臺提供數據同步分發(fā)服務，根據應用系統(tǒng)的數據需求，進行相應數據的分發(fā)與同步。
1）同步接口：可同步組織機構、用戶、用戶組、角色、密碼等信息的增加、刪除、修改、啟用、停用、重命名、修改父級等變更信息。
公共服務接口
統(tǒng)一用戶管理平臺作為企業(yè)內部的IT基礎設施，集中存儲企業(yè)的組織機構和用戶數據。統(tǒng)一用戶管理平臺提供公共服務，方便有需要的應用系統(tǒng)進行組織機構和用戶數據的查詢。
組織機構查詢接口
為應用系統(tǒng)提供組織機構查詢條件，可根據任意屬性、父級屬性查詢，查詢組織機構的詳細信息，查詢結果支持分頁顯示。
用戶查詢接口
為應用系統(tǒng)提供用戶信息查詢條件，可根據任意屬性、父級屬性查詢，查詢用戶的詳細信息，查詢結果支持分頁顯示。
用戶組查詢接口
為應用系統(tǒng)提供用戶組信息查詢條件，可根據用戶組名稱、編碼查詢，查詢用戶組的詳細信息，查詢結果支持分頁顯示。
角色查詢接口
為應用系統(tǒng)提供角色信息查詢條件，可根據角色名稱、編碼查詢，查詢角色的詳細信息，查詢結果支持分頁顯示。

3 統(tǒng)一用戶管理平臺設計
根據部署方式設計圖所示，統(tǒng)一用戶管理平臺分級部署在總部和集團公司，分別為總部應用系統(tǒng)和集團公司應用系統(tǒng)提供身份認證、單點登錄、用戶管理服務。
總部統(tǒng)一用戶管理平臺除了承擔本公司應用的用戶認證功能外，還為集中部署的應用系統(tǒng)提供下屬集團公司用戶認證功能，即支持總部集中部署，總部、集團公司分級使用的全國應用系統(tǒng)用戶認證。總部統(tǒng)一用戶管理平臺所制定的安全策略針對全部應用系統(tǒng)生效。
集團公司統(tǒng)一用戶管理平臺承擔本公司應用的用戶認證功能，應用可以是統(tǒng)一建設部署的，也可以是本集團自行建設的應用系統(tǒng)。集團公司統(tǒng)一用戶管理平臺繼承總部統(tǒng)一用戶管理平臺安全策略，并可針對本集團特定應用或本地應用制定單獨的安全策略。
設計依據
統(tǒng)一用戶管理平臺采用分級部署、分級管理的設計方式，其主要優(yōu)點有：
（1）適應不同部署形式的應用系統(tǒng)，更好地貼近應用系統(tǒng)實際安全需要；
（2）集團公司有自建應用系統(tǒng)，也需要統(tǒng)一用戶管理，本地的統(tǒng)一用戶管理平臺提供了實現手段；
（3）分級部署提供了本地認證能力，減少了對網絡的依賴，提高了系統(tǒng)可靠性；
（4）分級部署為本地提供了應用管理能力，可為本地建設的單獨應用系統(tǒng)提供單點登錄；
（5）總部統(tǒng)一用戶管理平臺可靈活使用，既為總部服務又可為全國應用服務，還具有認證托管能力，可為人數較少的集團公司直接提供認證服務。
統(tǒng)一用戶管理功能
用戶管理
用戶管理是指各級用戶管理員通過統(tǒng)一用戶管理平臺提供的頁面，在其管理范圍內完成對用戶的新增、查詢、修改、刪除和應用分配等操作。
用戶類別可分為：內部用戶、外部用戶、臨時用戶等多種類型。
臨時用戶在申請統(tǒng)一用戶管理平臺帳號需要進行層級審批。
用戶主帳號管理：新增一個用戶，主要填寫包括用戶姓名、身份證號、選擇所在公司和部門等信息，創(chuàng)建用戶信息的同時為用戶分配員工編碼，才能生效。
員工編號必須在全公司范圍內唯一。
用戶主帳號修改功能中的口令修改能夠自動同步到各子帳號中，使用戶口令保持一致。
用戶主帳號中的信息修改，如果信息在子帳號中也存在，需要自動的更新到子帳號中，使得用戶信息保持一致。
用戶刪除時，用戶的權限等信息也將隨之刪除。
用戶從帳號管理：用戶管理員通過統(tǒng)一用戶管理平臺頁面可以對用戶從帳號進行創(chuàng)建、修改、刪除等操作，創(chuàng)建的從帳號通過管理接口同步到各個應用系統(tǒng)中。
從帳號與主帳號自動進行關聯，通過主帳號視圖可以看到和子帳號的關聯關系。
如果修改的信息是用戶主帳號包括的基本信息，應當修改主帳號信息，由主帳號自動同步到從帳號，是信息保持一致。
用戶管理員通過統(tǒng)一用戶管理平臺頁面可以對用戶從帳號進行刪除，刪除操作通過接口同步到各個應用系統(tǒng)。
用戶帳號的修改：用戶管理員通過統(tǒng)一用戶管理平臺WEB UI界面可以對用戶信息進行修改，用戶帳號修改功能中的口令修改應當能夠自動同步到各子帳號中，使其用戶口令保持一致。
用戶帳號中的信息修改，如果信息在子帳號中也存在，需要自動的更新到子帳號中，使得用戶信息保持一致。
用戶帳號的刪除：用戶管理員通過統(tǒng)一用戶管理平臺WEB UI界面可以刪除用戶。
用戶帳號的刪除應當在生命周期管理中通過離職等流程完成，盡量避免直接刪除用戶。
用戶刪除時，此時用戶的權限等信息也將隨之刪除。
用戶帳號的啟用：用戶管理員通過統(tǒng)一用戶管理平臺WEB UI界面可以對用戶進行啟用，啟用后用戶的主帳號狀態(tài)變成“正常”，但用戶所關聯的子帳號，需要管理員手工的進行啟用管理。
用戶帳號的禁用：用戶管理員通過統(tǒng)一用戶管理平臺WEB UI界面可以禁用用戶帳號，禁用后，用戶帳號所關聯的子帳號應自動禁用。
用戶帳號的轉移：用戶管理員通過統(tǒng)一用戶管理平臺WEB UI界面可以對用戶帳號進行轉移，該轉移是轉移用戶所在組織節(jié)點，轉移后用戶屬性中組織信息需要自動的進行變更，與轉移后的組織信息保持一致。
組織機構管理
統(tǒng)一用戶管理平臺提供組織機構管理頁面，在頁面中提供添加，查詢，注銷，刪除等功能。
組織機構管理圖形化，已經添加在統(tǒng)一用戶管理平臺中的組織機構，系統(tǒng)將現有的組織機構已樹狀形式顯示。此管理頁面能夠被維護并實時更新。
組織結構信息能夠導出成圖片、Excel數據，能夠形成XML格式數據提供接口被其他系統(tǒng)實時引用。
組織機構的創(chuàng)建：新增一個組組機構，主要填寫包括組織機構的名稱、編碼、類型（部門或公司）等信息，并指定其上級組織機構。
組織機構的編碼必須在全局范圍內唯一，其編碼規(guī)則在企業(yè)目錄規(guī)范中統(tǒng)一規(guī)定。
組織機構的查詢：統(tǒng)一用戶管理平臺既提供查詢組織機構的WEB UI界面，也提供基于Web Service規(guī)范的組織機構查詢接口。后者主要便于應用系統(tǒng)在其應用中嵌入企業(yè)組織目錄樹。
支持通過組織機構名稱、編碼、類型等屬性進行組織機構的精確查詢、模糊查詢、組合查詢。
組織機構的修改：用戶管理員通過統(tǒng)一用戶管理平臺WEB UI界面可以對組織機構的名稱、編碼、類型進行修改。
支持對組織機構的合并和轉移。
在修改組織機構后，用戶信息中組織的信息將自動變更。
組織機構的刪除：用戶管理員通過統(tǒng)一用戶管理平臺WEB UI界面可以刪除組織機構。
在刪除組織機構時，必須先對該組織機構下的所有用戶進行調離或刪除處理，否則不能刪除組織機構。
在刪除組織機構時，必須先對該組織機構的下級組織機構進行轉移或刪除處理，否則不能刪除組織機構。
從數據安全性考慮，嚴禁通過遞歸方式直接刪除組織機構。
 
組織機構的合并：用戶管理員通過統(tǒng)一用戶管理平臺WEB UI界面可以對組織機構進行合并，合并支持兩種方式：
1) A，B合并到A或B；
2) A，B合并到C；
合并時，系統(tǒng)需要提示組織下的組織和人員將會合并到新的組織下。
組織機構的刪除：用戶管理員通過統(tǒng)一用戶管理平臺WEB UI界面可以對組織機構進行刪除，系統(tǒng)需要檢查當前組織下是否還包含子組織和人員，如果存在，提示管理員不能刪除該組織，需要先轉移該組織下的子組織和人員。
群組管理
群組管理是指各級用戶管理員通過統(tǒng)一用戶管理平臺提供的頁面，在其管理范圍內完成對群組的新增、修改、刪除、群組人員分配和群組人員轉移等操作。
群組的編碼在全公司范圍內唯一。群組用于將擁有同類權限的用戶進行匯總，以便于批量用戶的授權。
群組包括靜態(tài)組和動態(tài)組，靜態(tài)組提供對組的成員管理，管理員可以通過查找用戶的方式，把用戶添加到改組。
動態(tài)組通過LDAP表達式實現，系統(tǒng)應提供LDAP表達式輸入的區(qū)域，和對LDAP表達式檢查的結果顯示，方便管理員設置。
管理員通過統(tǒng)一用戶管理平臺頁面可以向群組中添加人員、去除人員，群組中人員的添加/去除操作只影響用戶的權限。
群組刪除時，該群組與應用系統(tǒng)的關聯關系，群組與人員的關系將一并刪除。
權限與角色管理
可以擴展提供基于角色的訪問控制能力。用戶和角色之間的關系是不斷維護的，每種角色都有各自的權限定義，如果一個用戶被賦予一個角色之后，那么這個用戶就擁有了那個角色所定義的權限；當這個角色的權限定義更改之后，所有被賦予這個角色的用戶也會自動擁有這個角色更改之后的權限。
平臺負責目錄中角色的維護，包括角色的添加、修改、刪除、角色人員分配和角色人員轉移等功能。
應用管理
管理員通過統(tǒng)一用戶管理平臺提供的頁面，完成對應用系統(tǒng)的注冊、修改、刪除等操作。
可以指定應用系統(tǒng)的同步內容，包括帳號、組織、群組和角色。
支持應用的批量開通。
用戶信息導入
統(tǒng)一用戶管理平臺提供了數據初始化工具，可從單數據源或多數據源導入用戶信息。用戶信息導入步驟如下：
（1）選擇一個或多個應用系統(tǒng)數據源作為用戶信息導入源；
（2）按照事先定義好的Web Service接口，導入用戶信息；
（3）統(tǒng)一用戶管理平臺會根據事先定義好的字段設置，將用戶信息完整的建立起來，管理員可在此基礎上對用戶進行分組或自動分組，便于進行單點登錄授權。
帳號有效期管理
如果用戶類型是臨時用戶，則賬戶有效期屬于必填項。
為了滿足對用戶生命周期管理的需要，需實現如下功能：
（1）面向全體用戶，定義統(tǒng)一用戶管理平臺用戶身份有效期審核管理措施；
（2）當用戶信息接近有效期時告警；
（3）當用戶有效期到期禁用用戶、停止訪問權限。
用戶密碼管理
對于用戶名密碼認證，統(tǒng)一用戶管理平臺支持用戶密碼的安全策略管理和密碼同步管理。
密碼安全策略管理：對于密碼安全策略，系統(tǒng)支持如下要求：
（1）可定義口令的復雜度策略：包括口令的長度、口令的組成、定義非重復口令、禁用的字符短語等；
（2）可定義口令的過期策略，使用戶在一定周期過后就強制要求修改密碼；
（3）可針對不同崗位和角色應用不同的口令安全策略；
（4）支持口令加密存儲及口令重置。
對于需要采用口令同步的系統(tǒng)，系統(tǒng)支持用戶口令的同步，當在統(tǒng)一用戶管理平臺修改口令后，系統(tǒng)將用戶口令同步到后臺各應用系統(tǒng)中。
初始密碼修改：統(tǒng)一用戶管理平臺提供設置初始密碼功能，此功能能夠提供初始密碼設置。
在統(tǒng)一用戶管理平臺注冊新用戶后，統(tǒng)一用戶管理平臺會自動為用戶設置初始密碼。當用戶在初始登錄時，使用初始密碼登錄。統(tǒng)一用戶管理平臺檢查登錄密碼，如果檢測登錄密碼為初始密碼系統(tǒng)則彈出提示信息（如：“不能使用初始密碼登錄”）并導入頁面密碼修改頁面，讓用戶自行修改密碼。
帳號密碼強度檢測：統(tǒng)一用戶管理平臺提供密碼強度檢測功能，即用戶在修改密碼時，用戶設置的密碼沒有達到指定的強度時，系統(tǒng)會提示用戶設置的密碼沒有達到指定的強度，請用戶重新設置。
自助申請帳號
提供頁面為提供臨時用戶帳號自助申請，臨時帳號需要進行審批后才能使用，并且在審批時設定帳號有效期。
用戶自服務管理
用戶自服務管理是指用戶管理員通過用戶管理系統(tǒng)的UI界面，對允許用戶進行自助服務的個人信息進行范圍設定。
用戶自服務管理系統(tǒng)必須能夠保障用戶的自助編輯服務范圍是限制在用戶個人基本信息中，不能超出這個設定范圍，且必須符合目錄存儲規(guī)范中對用戶各項信息屬性類型的要求。
用戶自助服務系統(tǒng)必須保證用戶只能查看和編輯自身的用戶信息。
用戶個人信息自助服務
用戶個人信息自助服務是指用戶自身通過用戶管理系統(tǒng)的UI界面（通常為Web UI界面），對其自身的個人基本信息進行登記和編輯等操作。
用戶可以通過自助服務查看本人的身份信息和授權，并能夠對其中的個人基本信息進行編輯，例如：用戶手機號碼這種個人信息允許用戶自助編輯，而用戶的公司信息，包括用戶ID、用戶工號、用戶組織等信息是不允許用戶編輯，以保證用戶信息的合法性。
領導可以自行指定一個代理人來處理用戶的事務。
用戶自助服務UI界面應能夠將用戶信息中的個人信息和公司信息，可自助服務信息和非自助服務信息，以及必選信息和可選信息清晰區(qū)分開來；
用戶管理系統(tǒng)必須能夠保障用戶的自助服務范圍是滿足用戶管理員設定范圍。
用戶通過自服務系統(tǒng)能夠修改授權用戶修改的個人信息，包括密碼信息。
被集成的應用系統(tǒng)應該調用統(tǒng)一用戶管理平臺的自服務管理模塊，不再使用原有的自服務模塊。
系統(tǒng)管理
統(tǒng)一用戶管理平臺的管理服務功能包括：數據字典設置、菜單管理設置、角色管理、數據導入、同步訂閱。
系統(tǒng)提供分級管理功能，系統(tǒng)管理員可以定義為總部、下屬公司兩級或更多級，分別對能管理的用戶、角色等信息進行管理。
安全審計與日志報表
系統(tǒng)提供一個集中的存儲中心以日志的形式記錄用戶所作的所有操作。審計人員、安全管理人員可以隨時察看這些記錄用戶、系統(tǒng)和應用的日志信息。并為所有系統(tǒng)和用戶提供一個基于關系型數據庫的準確而且安全的日志記錄方式。
管理人員可以根據日志中記錄的信息，進行靈活地日志查詢和報表功能。
單點登錄功能實現
單點登錄的實現原理：統(tǒng)一用戶管理平臺的用戶信息數據獨立于各應用系統(tǒng)，形成統(tǒng)一的用戶唯一ID，并將其作為統(tǒng)一認證平臺用戶的主帳號。
（1）在通過統(tǒng)一用戶管理平臺統(tǒng)一認證后，可以從登錄認證結果中獲取統(tǒng)一用戶管理平臺用戶唯一ID（主帳號）；
（2）再由其關聯不同應用系統(tǒng)的用戶帳號（從帳號）；
（3）最后用關聯后的帳號訪問相應的應用系統(tǒng)。
當增加一個應用系統(tǒng)時，只需要增加統(tǒng)一用戶管理平臺用戶唯一ID（主帳號）與該應用系統(tǒng)帳號（從帳號）的一個關聯信息即可，不會對其它應用系統(tǒng)產生任何影響，從而解決登錄認證時不同應用系統(tǒng)之間用戶交叉和用戶帳號不同的問題。單點登錄過程均通過安全通道來保證數據傳輸的安全。
 
B/S結構應用系統(tǒng)的接入與認證：B/S結構應用系統(tǒng)用戶均采用瀏覽器登錄和訪問應用系統(tǒng)，因此使用瀏覽器訪問統(tǒng)一用戶管理平臺，在統(tǒng)一用戶管理平臺登錄認證成功后，再訪問具體B/S應用應用系統(tǒng)。B/S應用系統(tǒng)接入統(tǒng)一用戶管理平臺的架構如下圖所示：


圖2  應用系統(tǒng)接入與認證架構

統(tǒng)一用戶管理平臺提供兩種B/S結構應用系統(tǒng)接入方式，以滿足不同應用系統(tǒng)的需求，快速實現單點登錄：
 
反向代理方式：在完成客戶端與認證服務器的交互認證后，用戶先登錄進入統(tǒng)一用戶管理平臺系統(tǒng)，然后利用反向代理技術完成服務器端代理用戶認證，并將應用系統(tǒng)信息推送給客戶端瀏覽器，從而實現用戶對該應用系統(tǒng)的訪問。
這種方式下應用系統(tǒng)基本不需改動和開發(fā)，對于不能作改動或沒有原廠商配合改動的應用系統(tǒng)，可以使用該方式接入統(tǒng)一用戶管理平臺。實現上，采用SSO認證服務和SSO Agent進行交互驗證用戶信息，完成應用系統(tǒng)單點登錄。


圖3 反向代理方式接入應用系統(tǒng)

反向代理方式下通過統(tǒng)一用戶管理平臺訪問應用系統(tǒng)的流程如下：
（1）用戶在統(tǒng)一用戶管理平臺上點擊訪問的應用系統(tǒng)URL鏈接；
（2）由統(tǒng)一用戶管理平臺驗證用戶權限，有權限則在統(tǒng)一用戶管理平臺數據庫中查詢用戶和應用系統(tǒng)的關聯表，無權限則提示用戶無權訪問；
（3）如關聯表中無相應記錄，則瀏覽器彈出建立關聯的頁面；如關聯表中有相應記錄，則統(tǒng)一用戶管理平臺服務器提取用戶和應用系統(tǒng)的關聯信息，送至SSO服務加密簽名形成數字信封后，返還給統(tǒng)一用戶管理平臺；
（4）由統(tǒng)一用戶管理平臺將加密信息發(fā)送給應用系統(tǒng)前端的SSO Agent；
（5）SSO Agent收到加密信息后進行解密，并向應用系統(tǒng)提交用戶關聯信息；
（6）應用系統(tǒng)收到用戶關聯信息后進行驗證，驗證成功則允許用戶訪問應用，失敗則提示用戶更新關聯信息。
 
插件方式：插件方式采用SSO認證服務和集成插件（SSO API）的方式進行交互驗證用戶信息，完成應用系統(tǒng)單點登錄。插件方式提供多種API，通過簡單調用即可實現SSO。



通常情況下，對于有原廠商配合開發(fā)的應用系統(tǒng)，推薦使用該方式接入統(tǒng)一用戶管理平臺，以實現高效率高可靠的單點登錄。


圖4 插件方式接入應用系統(tǒng)

（1）用戶在統(tǒng)一用戶管理平臺上點擊訪問的應用系統(tǒng)URL鏈接；
（2）由統(tǒng)一用戶管理平臺驗證用戶權限，有權限則在統(tǒng)一用戶管理平臺數據庫中查詢用戶和應用系統(tǒng)的關聯表，無權限則提示用戶無權訪問；
（3）如關聯表中無相應記錄，則該用戶未授權，不允許訪問；如關聯表中有相應記錄，則統(tǒng)一用戶管理平臺服務器提取用戶在該應用系統(tǒng)中的身份信息，送至SSO服務加密簽名形成數字信封后，返還給統(tǒng)一用戶管理平臺；
（4）由統(tǒng)一用戶管理平臺將加密信息發(fā)送給相應的應用系統(tǒng)；
（5）應用系統(tǒng)調用SSO API，對加密信息進行解密，得到用戶身份信息并返回給應用系統(tǒng)；
（6）應用系統(tǒng)收到用戶身份信息后通過信任機制允許用戶訪問應用系統(tǒng)。
 
C/S結構應用系統(tǒng)的接入與認證：對于C/S架構的應用系統(tǒng)，統(tǒng)一用戶管理平臺采用Windows消息機制方式，自動地向客戶端傳遞認證參數，從而實現單點登錄。其具體認證過程如下：
（1）在統(tǒng)一用戶管理平臺上啟用CS Agent，由管理員配置好CS Agent所需要的客戶端用戶認證參數；
（2）用戶登錄統(tǒng)一用戶管理平臺；
（3）用戶點擊C/S應用鏈接；
（4）CS Agent啟動客戶端，并通過Windows消息機制向客戶端傳遞用戶認證參數；
（5）客戶端接收到認證參數，按照自身的認證方式通過用戶驗證，進入系統(tǒng)；
（6）用戶使用客戶端而無需進行其他操作。
應用支撐體系
統(tǒng)一用戶管理平臺建設采用分級部署方式，可靈活支持多種部署形式的應用系統(tǒng)，分別詳述如下：
集中部署應用的認證與單點登錄
對于集中部署、分級使用的應用系統(tǒng)，由總部統(tǒng)一用戶管理平臺提供用戶管理、認證與單點登錄服務，應用系統(tǒng)為集團公司用戶提供訪問鏈接，該訪問鏈接可集成在集團公司門戶中。
總部統(tǒng)一用戶管理平臺具有全國用戶信息庫，因此，可以為集中部署方式的應用系統(tǒng)提供支持。當集團公司用戶訪問應用時，認證請求被發(fā)送到總部統(tǒng)一用戶管理平臺，由平臺校驗用戶認證憑證，校驗成功則檢查用戶權限信息和應用訪問控制信息，根據上述信息單點登錄到應用中。
分級部署應用的認證與單點登錄
對于分級中部署、分級使用的應用系統(tǒng)，由總部和集團公司統(tǒng)一用戶管理平臺分別提供用戶管理、認證與單點登錄服務，應用系統(tǒng)分別為總部和集團公司用戶提供訪問鏈接，該訪問鏈接可分別集成在總部和集團公司門戶中。
總部和集團公司統(tǒng)一用戶管理平臺分別具有本公司范圍內的用戶信息庫，因此，可以為分級部署方式的應用系統(tǒng)提供支持。當集團公司用戶訪問應用時，認證請求被發(fā)送到集團公司統(tǒng)一用戶管理平臺，由平臺校驗用戶認證憑證，校驗成功則檢查用戶權限信息和應用訪問控制信息，根據上述信息單點登錄到應用中；當總部用戶訪問應用時，認證請求被發(fā)送到總部統(tǒng)一用戶管理平臺，由平臺校驗用戶認證憑證，校驗成功則檢查用戶權限信息和應用訪問控制信息，根據上述信息單點登錄到應用中。
直接使用總部統(tǒng)一用戶管理平臺的設計
對于部分人數較少的集團公司，可以采用直接使用總部統(tǒng)一用戶管理平臺提供的用戶管理、認證與單點登錄服務，即采用認證托管模式建設本集團公司統(tǒng)一用戶管理平臺，有效節(jié)省投資成本。
在認證托管模式下，集團公司在本地不存在物理上的統(tǒng)一用戶管理平臺，而是由總部統(tǒng)一用戶管理平臺在邏輯上形成一個只針對該集團公司的統(tǒng)一用戶管理平臺，由該集團公司管理員維護與管理。邏輯上的統(tǒng)一用戶管理平臺，具有和其他集團公司所建的統(tǒng)一用戶管理平臺一致的功能，也可以進行本集團范圍內的分級管理授權，功能獨立運用，不受總部統(tǒng)一用戶管理平臺的影響。
授權管理體系
統(tǒng)一用戶管理平臺采用了分級部署、分級管理的實現方式，授權管理也相應的采用了分級授權管理體系。總部管理員負責管理總部應用和全集團應用，管理總部角色信息，實現用戶基于角色或個人的授權。集團公司管理員負責管理集團公司應用應用，管理集團公司角色信息，實現用戶基于角色或個人的授權。
對于每個公司的授權，采用了集中授權管理機制，能夠集中的對用戶與被管資源中的權限進行分配。
把權限（資源）賦予用戶的過程中，應該有完善的授權生命周期管理：授予權限、修改授權、解除授權。同時存在輔助管理功能，例如：查找、定位、報表等。
為了方便授權動作，可以將一組相同或相近類型的權限（資源）定義為角色。同理，如果把一個角色授予一個用戶，即把角色包含的權限（資源）全部授予用戶。
現階段實現粗粒度實體級授權，也就是完成用戶到資源的訪問層面。而應用等內部的授權由系統(tǒng)自身完成。
資源管理
資源管理是指對被管理資源進行錄入、編輯、刪除、查詢、報表等一系列維護管理操作。為了方便管理員管理，資源按照多種類型進行分類管理，提供給管理員的UI界面，進行友好的管理維護與展現。
資源管理支持以下功能：
創(chuàng)建資源：管理員能夠通過文件導入或者人工添加的方式，增加新的資源信息；
修改資源：管理員能夠對其管理范圍內的資源信息進行編輯；
查詢資源：管理員能夠通過設定查詢條件（包括精確、模糊和組合等方式）對其管理范圍內的資源信息進行查詢；
刪除資源：管理員能夠在其管理范圍內刪除某個或某些資源的信息；
角色管理
角色是一系列權限（資源）的集合。通過角色的定義，可以簡化授權操作，降低用戶與權限之間的耦合程度，提高授權的靈活性。
授權管理
授權管理就是把相應的權限（資源）或角色授予用戶或用戶組的一系列維護管理操作。對用戶授權后，用戶即擁有訪問目標資源的權限。
使用流程
單點登錄流程
單點登錄流程詳細如下：
（1）用戶在登錄后頁面中顯示的應用程序訪問列表中點擊需要訪問的應用程序鏈接；
（2）應用系統(tǒng)接受用戶的訪問請求，并將訪問請求轉發(fā)到統(tǒng)一用戶管理平臺的單點登錄服務器；
（3）單點登錄服務器解析用戶訪問請求信息，并校驗用戶訪問權限，向應用系統(tǒng)返回用戶信息；
（4）應用系統(tǒng)獲得單點登錄服務器信息，用戶登錄成功，正常使用應用系統(tǒng)。
單點登錄安全性說明
對于單點登錄系統(tǒng)來說，由于各個應用系統(tǒng)是根據從單點登錄系統(tǒng)獲得的票據來獲取登錄人員身份的，因此票據的安全性是單點登錄系統(tǒng)的關鍵要素。為了保證票據的安全，采取了以下措施：
 
票據生成的唯一性和時效性：為了保證用戶登錄應用系統(tǒng)的安全性，由單點登錄系統(tǒng)生成票據作為用戶登錄應用系統(tǒng)的憑據。生成的票據由單點登錄系統(tǒng)存儲，并記錄該票據是發(fā)給哪個用戶登錄哪個應用系統(tǒng)的。票據是一串加密的隨機數，且該串隨機數一次有效并具有一定的時效性（一般為60秒）。當用戶單點登錄成功時，該票據被刪除；當超過票據有效時間時，該票據被刪除。通過這些措施可以阻止其他用戶利用中間人截獲的方式登錄應用系統(tǒng)，也可以阻止其他應用服務器模擬合法用戶登錄到其他應用服務器。
票據驗證還可以配合IP地址綁定等方式，通過增加客戶端可識別信息進一步加強單點登錄的安全性。
 
票據傳輸過程安全性：在票據傳送過程中，由單點登錄系統(tǒng)對票據進行簽名然后才發(fā)送到應用系統(tǒng)。任何對認證信息的修改都會導致簽名驗證的失敗，從而阻止其他客戶端對認證請求的偽造，也可以驗證客戶端的唯一性。
在應用系統(tǒng)接收到票據后，會將票據傳送到單點登錄系統(tǒng)進行驗證，傳送的過程中，將由單點登錄系統(tǒng)部署于業(yè)務系統(tǒng)上的組件對傳輸內容進行簽名，這樣就保證了目標業(yè)務系統(tǒng)的不可抵賴性。
 
用戶信息的安全性：在驗證票據后，單點登錄系統(tǒng)會將用戶的登錄信息傳送給業(yè)務系統(tǒng)，同時，此次傳輸的用戶信息是由單點登錄系統(tǒng)進行加密后傳輸，因此，在此傳輸過程中保證了用戶登錄信息的安全性。
 
關于時代億信
北京時代億信科技有限公司是一家致力于企業(yè)應用整合及信息安全整體解決方案的專業(yè)技術服務公司。公司依托首都科技產業(yè)優(yōu)勢，專注于數字證書應用、企業(yè)應用安全、企業(yè)應用整合及相關領域的軟件研發(fā)與技術服務，為客戶提供整體的應用安全解決方案。憑借團隊優(yōu)勢和綜合技術能力，公司相繼獨立完成了身份認證、統(tǒng)一身份管理與訪問控制、文檔安全保護、SSLVPN等一系列創(chuàng)新產品的研發(fā)和推廣，積累了豐厚的專業(yè)技術實力和成熟的客戶服務經驗，經過不斷努力，已經成為企業(yè)應用安全及整合領域領先的解決方案提供商。